据securityaffairs信息,Minerva实验室日前发现,不明网络攻击正应用受传染的 Telegram 安装程序散播Purple Fox (紫狐)木马程序。
2021年12月25日,安全性科学研究精英团队Malware Hunter Team发现了一个故意安装程序。Minerva实验室的分析工作人员进而进行调研,发现与其它恶意程序的传播方式不一样,Purple Fox采用了新传播方式,这令它的隐秘性进一步提高。
“一般而言,网络攻击会应用正规的软件安装包来置入故意文档。但此次不一样,网络攻击将故意文档分为多个文档以躲避检验,这种文档最后会造成Purple Fox rootkit 感柒。”Minerva实验室公布的数据分析报告中写到。
Purple Fox于 2018 年 3 月第一次被发现,并以名叫“.msi ”程序包的方式在互联网技术派发。那时候,权威专家们在近 2000 台受传染的 Windows 网络服务器上发现了该程序包。2021 年 3 月,Guardicore 的分析工作人员发现了Purple Fox的全新升级变异,它演变出了规模性感柒网络服务器的工作能力。
Purple Fox此次为躲避检验而装扮成 Telegram 安装程序开展规模性散播,经科学研究发现,实际上也是一个名叫 "Telegram Desktop.exe"的AutoIt脚本制作,适用于自动化技术windows的GUI程序流程。
实行脚本制作后,它会在 C:\Users\Username\AppData\Local\Temp\ 下建立一个名叫“TextInputh”的新文件夹名称,并删掉原版 Telegram 安装程序和故意烧录 (TextInputh.exe)。
实行时,TextInputh.exe会再次在C:\Users\Public\Videos\文件目录下建立一个名叫“1640618495”的文件夹名称,随后从C2网络服务器将“1.rar”、“7zz.exe”文件上传到创建的文件中。
随后 TextInputh.exe 实行下列实际操作:
- 将含有 "360.dll "名字的360.tct、rundll3222.exe和svchost.txt拷贝到ProgramData文件夹中。
- 用“ojbk.exe -a”命令实行 ojbk.exe
- 删掉1.rar和7zz.exe,撤出ojbk.exe过程
“当应用“-a”主要参数实行时,这一文档只用于反射地载入故意的360.dll文档",汇报剖析。
以后,下列五个文档将再次被放进 ProgramData 文件夹名称中。
- exe – 这一文档被用于关掉和阻拦 360 AV 的运行
- sys – 删掉此文档后,会在受传染的 PC 上构建并运行一个名叫“Driver”的新系统驱动软件服务项目,并在 ProgramData 文件夹名称中建立 bmd.txt
- dll – 在绕开 UAC 后实行。
- bat – 在删除文件完毕后实行的批处理命令脚本制作。
- hg – SQLite 文档
以上文档被用于阻拦 360 AV 过程的运行,最后阻拦检验的有效载荷,也就名正言顺完成了Purple Fox 的侧门作用。
随后,该恶意程序搜集基本上系统信息,查验总体目标服务器上能否有安全防护专用工具,并将两者的硬编码发送至C2网络服务器。
最后一步也是最重要的一步,Purple Fox被做为 .msi 文档从 C2 服务器下载,用以系统加密的 shellcode也一并被免费下载出来。因而,Purple Fox义正辞严地禁止使用UAC(用户账户控制),以实行普遍的故意主题活动,如杀死进程,免费下载和实行附加的高效负荷这些。
“大家发现很多故意安装程序应用同样的攻击链,来传送同样的Purple Fox rootkit。有一些电子邮件好像是根据电子邮件发送的,而另一些大家觉得是以诈骗网站免费下载的。这类拒绝服务攻击的独到之处取决于,故意文档每一个时期都被剥离到不一样的资料中,要是没有全部文档集,这种文档就毫无价值。这有利于网络攻击维护故意文档免遭 AV 检验。” 报告总结道。
参照来源于:https://securityaffairs.co/wordpress/126299/cyber-crime/purple-fox-telegram-installer.html